Mi sitio tiene la Transparencia de certificado habilitada pero Chrome aún muestra NET :: ERR_CERTIFICATE_TRANSPARENCY_REQUIRED

9

Tengo un sitio llamado www.goflyla.com y compré el certificado SSL de RapidSSL con Transparencia del certificado habilitado.

Los SSLLabs dan una línea verde que dice Certificate Transparency: Yes (certificate) :

Curiosamente,estosolosucedeenChrome(versiónparaMac).TodavíapuedoaccederamisitioenWindowsyUbuntu(Linux)ChromeperodiciendothesitesuppliedinvalidCertificateTransparencyinformation

Verificadoconchrome://net-internalsyembedded_sctsestáahí:

Lo he reducido a Chrome versión 53.

¿Qué debo hacer?

    
pregunta Brian Ho 19.09.2016 - 06:18
fuente

2 respuestas

5

Redacción de CT bloqueada

Según el sitio de búsqueda CT (archivado aquí ) el certificado se registra como ?.goflyla.com . Esto se parece mucho a un intento de redactar el nombre de dominio exacto.

Y, desafortunadamente, esa característica aún no está completamente estandarizada. Así que simplemente no funciona en este momento. (Y cualquier intento de enviar una entrada redactada al registro solo resultará en que Chrome 53 ignore por completo esa entrada de registro y dirá: No se encontró ninguna entrada de registro. Para obtener más detalles, consulte la publicación del blog de SSLMate enlazada a continuación.)

Entonces, ¿qué puedes hacer? -- No estoy seguro. Supongo que una de dos cosas:

  • Pida a RapidSSL que arregle el envío del registro CT y vuelva a enviarlo con el nombre de host no redirigido.
  • Comprar un certificado diferente. Y no de Symantec o de una filial. - La razón es que Symantec fue, a falta de una palabra mejor, sentenciado de Google a CT registra cada nuevo certificado (archivado aquí ). - (Y parece que ese requisito también se aplica a sus subsidiarias, como RapidSSL). Y otras autoridades de certificación simplemente no están bajo ese requisito.

Lectura adicional:

  • SSLMate Blog, 2016-09-07, Por qué Chrome 53 está rechazando el Certificado Symantec de Chase Bank ( Archivado aquí .)
      

    A pesar del hecho de que la redacción, en términos prácticos, no existe, Symantec avanzó e insertó la redacción en la versión original de Transparencia del certificado. El resultado es un certificado de Franken que funciona bien en los navegadores que no admiten la transparencia del certificado, pero que no se validan en Chrome.

  • Entrada de registro sin redacción: enlace
  • Entrada de registro de más tarde ese mismo día. Curiosamente con el mismo número de serie. No sé qué hacer con eso. También ahora con el extraño intento de redacción de "?" En lugar de "www": enlace
respondido por el StackzOfZtuff 19.09.2016 - 11:27
fuente

Lea otras preguntas en las etiquetas